首頁(yè)  ?  財(cái)經(jīng)  ?  經(jīng)濟(jì)觀察

美國(guó)用這種方式竊取中國(guó)企業(yè)商業(yè)機(jī)密!國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布調(diào)查報(bào)告

2025-01-17 19:47:25

來(lái)源:央視新聞客戶端

美網(wǎng)絡(luò)攻擊我國(guó)某智慧能源和數(shù)字信息大型高科技企業(yè)事件調(diào)查報(bào)告

  2024年12月18日,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html),發(fā)現(xiàn)處置兩起美對(duì)我大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件。本報(bào)告將公布對(duì)其中我國(guó)某智慧能源和數(shù)字信息大型高科技企業(yè)的網(wǎng)絡(luò)攻擊詳情,為全球相關(guān)國(guó)家、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。

  一、網(wǎng)絡(luò)攻擊流程

  (一)利用郵件服務(wù)器漏洞進(jìn)行入侵

  該公司郵件服務(wù)器使用微軟Exchange郵件系統(tǒng)。攻擊者利用2個(gè)微軟Exchange漏洞進(jìn)行攻擊,首先利用某任意用戶偽造漏洞針對(duì)特定賬戶進(jìn)行攻擊,然后利用某反序列化漏洞再次進(jìn)行攻擊,達(dá)到執(zhí)行任意代碼的目標(biāo)。

  (二)在郵件服務(wù)器植入高度隱蔽的內(nèi)存木馬

  為避免被發(fā)現(xiàn),攻擊者在郵件服務(wù)器中植入了2個(gè)攻擊武器,僅在內(nèi)存中運(yùn)行,不在硬盤存儲(chǔ)。其利用了虛擬化技術(shù),虛擬的訪問(wèn)路徑為/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx,攻擊武器主要功能包括敏感信息竊取、命令執(zhí)行以及內(nèi)網(wǎng)穿透等。內(nèi)網(wǎng)穿透程序通過(guò)混淆來(lái)逃避安全軟件檢測(cè),將攻擊者流量轉(zhuǎn)發(fā)給其他目標(biāo)設(shè)備,達(dá)到攻擊內(nèi)網(wǎng)其他設(shè)備的目的。

  (三)對(duì)內(nèi)網(wǎng)30余臺(tái)重要設(shè)備發(fā)起攻擊

  攻擊者以郵件服務(wù)器為跳板,利用內(nèi)網(wǎng)掃描和滲透手段,在內(nèi)網(wǎng)中建立隱蔽的加密傳輸隧道,通過(guò)SSH、SMB等方式登錄控制該公司的30余臺(tái)重要設(shè)備并竊取數(shù)據(jù)。包括個(gè)人計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備等;被控服務(wù)器包括,郵件服務(wù)器、辦公系統(tǒng)服務(wù)器、代碼管理服務(wù)器、測(cè)試服務(wù)器、開(kāi)發(fā)管理服務(wù)器和文件管理服務(wù)器等。為實(shí)現(xiàn)持久控制,攻擊者在相關(guān)服務(wù)器以及網(wǎng)絡(luò)管理員計(jì)算機(jī)中植入了能夠建立websocket+SSH隧道的攻擊竊密武器,實(shí)現(xiàn)了對(duì)攻擊者指令的隱蔽轉(zhuǎn)發(fā)和數(shù)據(jù)竊取。為避免被發(fā)現(xiàn),該攻擊竊密程序偽裝成微信相關(guān)程序WeChatxxxxxxxx.exe。攻擊者還在受害服務(wù)器中植入了2個(gè)利用PIPE管道進(jìn)行進(jìn)程間通信的模塊化惡意程序,實(shí)現(xiàn)了通信管道的搭建。

  二、竊取大量商業(yè)秘密信息

  (一)竊取大量敏感郵件數(shù)據(jù)

  攻擊者利用郵件服務(wù)器管理員賬號(hào)執(zhí)行了郵件導(dǎo)出操作,竊密目標(biāo)主要是該公司高層管理人員以及重要部門人員。攻擊者執(zhí)行導(dǎo)出命令時(shí)設(shè)置了導(dǎo)出郵件的時(shí)間區(qū)間,有些賬號(hào)郵件全部導(dǎo)出,郵件很多的賬號(hào)按指定時(shí)間區(qū)間導(dǎo)出,以減少竊密數(shù)據(jù)傳輸量,降低被發(fā)現(xiàn)風(fēng)險(xiǎn)。

  (二)竊取核心網(wǎng)絡(luò)設(shè)備賬號(hào)及配置信息

  攻擊者通過(guò)攻擊控制該公司3名網(wǎng)絡(luò)管理員計(jì)算機(jī),頻繁竊取該公司核心網(wǎng)絡(luò)設(shè)備賬號(hào)及配置信息。例如,2023年5月2日,攻擊者以位于德國(guó)的代理服務(wù)器(95.179.XX.XX)為跳板,入侵了該公司郵件服務(wù)器后,以郵件服務(wù)器為跳板,攻擊了該公司網(wǎng)絡(luò)管理員計(jì)算機(jī),并竊取了“網(wǎng)絡(luò)核心設(shè)備配置表”、“核心網(wǎng)絡(luò)設(shè)備配置備份及巡檢”、“網(wǎng)絡(luò)拓?fù)洹薄ⅰ皺C(jī)房交換機(jī)(核心+匯聚)”、“運(yùn)營(yíng)商IP地址統(tǒng)計(jì)”、“關(guān)于采購(gòu)互聯(lián)網(wǎng)控制網(wǎng)關(guān)的請(qǐng)示”等敏感文件。

  (三)竊取項(xiàng)目管理文件

  攻擊者通過(guò)對(duì)該公司的代碼服務(wù)器、開(kāi)發(fā)服務(wù)器等進(jìn)行攻擊,頻繁竊取該公司相關(guān)開(kāi)發(fā)項(xiàng)目數(shù)據(jù)。例如,2023年7月26日,攻擊者以位于芬蘭的代理服務(wù)器(65.21.XX.XX)為跳板,攻擊控制該公司的郵件服務(wù)器后,又以此為跳板,頻繁訪問(wèn)在該公司代碼服務(wù)器中已植入的后門攻擊武器,竊取數(shù)據(jù)達(dá)1.03GB。為避免被發(fā)現(xiàn),該后門程序偽裝成開(kāi)源項(xiàng)目“禪道”中的文件“tip4XXXXXXXX.php”。

  (四)清除攻擊痕跡并進(jìn)行反取證分析

  為避免被發(fā)現(xiàn),攻擊者每次攻擊后,都會(huì)清除計(jì)算機(jī)日志中攻擊痕跡,并刪除攻擊竊密過(guò)程中產(chǎn)生的臨時(shí)打包文件。攻擊者還會(huì)查看系統(tǒng)審計(jì)日志、歷史命令記錄、SSH相關(guān)配置等,意圖分析機(jī)器被取證情況,對(duì)抗網(wǎng)絡(luò)安全檢測(cè)。

  三、攻擊行為特點(diǎn)

  (一)攻擊時(shí)間

  分析發(fā)現(xiàn),此次攻擊活動(dòng)主要集中在北京時(shí)間22時(shí)至次日8時(shí),相對(duì)于美國(guó)東部時(shí)間為白天10時(shí)至20時(shí),攻擊時(shí)間主要分布在美國(guó)時(shí)間的星期一至星期五,在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為。

  (二)攻擊資源

  2023年5月至2023年10月,攻擊者發(fā)起了30余次網(wǎng)絡(luò)攻擊,攻擊者使用的境外跳板IP基本不重復(fù),反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。

  (三)攻擊武器

  攻擊者植入的2個(gè)用于PIPE管道進(jìn)程通信的模塊化惡意程序位于“c:\windows\system32\”下,使用了.net框架,編譯時(shí)間均被抹除,大小為數(shù)十KB,以TLS加密為主。郵件服務(wù)器內(nèi)存中植入的攻擊武器主要功能包括敏感信息竊取、命令執(zhí)行以及內(nèi)網(wǎng)穿透等。在相關(guān)服務(wù)器以及網(wǎng)絡(luò)管理員計(jì)算機(jī)中植入的攻擊竊密武器,使用https協(xié)議,可以建立websocket+SSH隧道,會(huì)回連攻擊者控制的某域名。

  四、部分跳板IP列表

美網(wǎng)絡(luò)攻擊我國(guó)某先進(jìn)材料設(shè)計(jì)研究院事件調(diào)查報(bào)告

  2024年12月18日,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html),發(fā)現(xiàn)處置兩起美對(duì)我大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件。本報(bào)告將公布對(duì)其中我國(guó)某先進(jìn)材料設(shè)計(jì)研究院的網(wǎng)絡(luò)攻擊詳情,為全球相關(guān)國(guó)家、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。

  一、網(wǎng)絡(luò)攻擊流程

  (一)利用漏洞進(jìn)行攻擊入侵

  2024年8月19日,攻擊者利用該單位電子文件系統(tǒng)注入漏洞入侵該系統(tǒng),并竊取了該系統(tǒng)管理員賬號(hào)/密碼信息。2024年8月21日,攻擊者利用竊取的管理員賬號(hào)/密碼登錄被攻擊系統(tǒng)的管理后臺(tái)。

  (二)軟件升級(jí)管理服務(wù)器被植入后門和木馬程序

  2024年8月21日12時(shí),攻擊者在該電子文件系統(tǒng)中部署了后門程序和接收被竊數(shù)據(jù)的定制化木馬程序。為逃避檢測(cè),這些惡意程序僅存在于內(nèi)存中,不在硬盤上存儲(chǔ)。木馬程序用于接收從涉事單位被控個(gè)人計(jì)算機(jī)上竊取的敏感文件,訪問(wèn)路徑為/xxx/xxxx?flag=syn_user_policy。后門程序用于將竊取的敏感文件聚合后傳輸?shù)骄惩猓L問(wèn)路徑是/xxx/xxxStats。

  (三)大范圍個(gè)人主機(jī)電腦被植入木馬

  2024年11月6日、2024年11月8日和2024年11月16日,攻擊者利用電子文檔服務(wù)器的某軟件升級(jí)功能將特種木馬程序植入到該單位276臺(tái)主機(jī)中。木馬程序的主要功能一是掃描被植入主機(jī)的敏感文件進(jìn)行竊取。二是竊取受攻擊者的登錄賬密等其他個(gè)人信息。木馬程序即用即刪。

  二、竊取大量商業(yè)秘密信息

  (一)全盤掃描受害單位主機(jī)

  攻擊者多次用中國(guó)境內(nèi)IP跳板登錄到軟件升級(jí)管理服務(wù)器,并利用該服務(wù)器入侵受害單位內(nèi)網(wǎng)主機(jī),并對(duì)該單位內(nèi)網(wǎng)主機(jī)硬盤反復(fù)進(jìn)行全盤掃描,發(fā)現(xiàn)潛在攻擊目標(biāo),掌握該單位工作內(nèi)容。

  (二)目的明確地針對(duì)性竊取

  2024年11月6日至11月16日,攻擊者利用3個(gè)不同的跳板IP三次入侵該軟件升級(jí)管理服務(wù)器,向個(gè)人主機(jī)植入木馬,這些木馬已內(nèi)置與受害單位工作內(nèi)容高度相關(guān)的特定關(guān)鍵詞,搜索到包含特定關(guān)鍵詞的文件后即將相應(yīng)文件竊取并傳輸至境外。這三次竊密活動(dòng)使用的關(guān)鍵詞均不相同,顯示出攻擊者每次攻擊前均作了精心準(zhǔn)備,具有很強(qiáng)的針對(duì)性。三次竊密行為共竊取重要商業(yè)信息、知識(shí)產(chǎn)權(quán)文件共4.98GB。

  三、攻擊行為特點(diǎn)

  (一)攻擊時(shí)間

  分析發(fā)現(xiàn),此次攻擊時(shí)間主要集中在北京時(shí)間22時(shí)至次日8時(shí),相對(duì)于美國(guó)東部時(shí)間為白天時(shí)間10時(shí)至20時(shí),攻擊時(shí)間主要分布在美國(guó)時(shí)間的星期一至星期五,在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為。

  (二)攻擊資源

  攻擊者使用的5個(gè)跳板IP完全不重復(fù),位于德國(guó)和羅馬尼亞等地,反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。

  (三)攻擊武器

  一是善于利用開(kāi)源或通用工具偽裝躲避溯源,此次在涉事單位服務(wù)器中發(fā)現(xiàn)的后門程序?yàn)殚_(kāi)源通用后門工具。攻擊者為了避免被溯源,大量使用開(kāi)源或通用攻擊工具。

  二是重要后門和木馬程序僅在內(nèi)存中運(yùn)行,不在硬盤中存儲(chǔ),大大提升了其攻擊行為被我分析發(fā)現(xiàn)的難度。

  (四)攻擊手法

  攻擊者攻擊該單位電子文件系統(tǒng)服務(wù)器后,篡改了該系統(tǒng)的客戶端分發(fā)程序,通過(guò)軟件客戶端升級(jí)功能,向276臺(tái)個(gè)人主機(jī)投遞木馬程序,快速、精準(zhǔn)攻擊重要用戶,大肆進(jìn)行信息搜集和竊取。以上攻擊手法充分顯示出該攻擊組織的強(qiáng)大攻擊能力。

  四、部分跳板IP列表

  • 相關(guān)閱讀
  • 南京—胡志明市國(guó)際航線開(kāi)通

      中新社南京1月17日電 (記者 朱曉穎)17日上午,由越南胡志明市飛來(lái)江蘇省南京市的MU2840航班降落在南京祿口國(guó)際機(jī)場(chǎng)。此前,由南京市飛往胡志明市的MU2839航班,于當(dāng)?shù)貢r(shí)間17日凌晨抵達(dá)胡志明市。至此,南京—胡志明市國(guó)...

    時(shí)間:01-17
  • 減碳96.2%!海南博鰲打造中國(guó)“近零碳”區(qū)域樣本

      中新社海南博鰲1月17日電 題:減碳96.2%!海南博鰲打造中國(guó)“近零碳”區(qū)域樣本  中新社記者 王曉斌  “博鰲近零碳示范區(qū)減碳96.2%,正式進(jìn)入近零碳運(yùn)行階段。”2025年海南省政府工作報(bào)告中透露的這一信息,意味著海...

    時(shí)間:01-17
  • 周密:對(duì)中國(guó)外貿(mào)應(yīng)有更強(qiáng)的信心

      中新網(wǎng)北京1月17日電 (記者 李曉喻)國(guó)家統(tǒng)計(jì)局17日公布2024年中國(guó)經(jīng)濟(jì)“成績(jī)單”。在中新社國(guó)是直通車當(dāng)天舉行的“年度中國(guó)經(jīng)濟(jì)形勢(shì)分析會(huì)”上,中國(guó)商務(wù)部國(guó)際貿(mào)易經(jīng)濟(jì)合作研究院美洲與大洋洲研究所副所長(zhǎng)、研究...

    時(shí)間:01-17
  • 產(chǎn)銷兩旺背后的金融動(dòng)能——交通銀行助力年貨經(jīng)濟(jì)升溫 帶動(dòng)消費(fèi)熱潮

      春節(jié)臨近,各地市場(chǎng)騰起濃濃“煙火氣”,年貨經(jīng)濟(jì)產(chǎn)銷兩旺,不僅映照出人們對(duì)新年的期許與對(duì)美好生活的向往,更是經(jīng)濟(jì)活力釋放的生動(dòng)注腳。交通銀行,作為國(guó)有大型金融機(jī)構(gòu),一頭連著千家萬(wàn)戶,一頭連著工商百業(yè),從促消費(fèi)、惠民...

    時(shí)間:01-17
  • 2025年汽車以舊換新政策來(lái)了!報(bào)廢舊車買新車最高補(bǔ)2萬(wàn)

      中新網(wǎng)1月17日電 據(jù)商務(wù)部網(wǎng)站消息,1月17日,商務(wù)部等8部門辦公廳發(fā)布關(guān)于做好2025年汽車以舊換新工作的通知,有關(guān)事項(xiàng)通知如下:  擴(kuò)大汽車報(bào)廢更新支持范圍  在《商務(wù)部等7部門關(guān)于進(jìn)一步做好汽車以舊換新有關(guān)工...

    時(shí)間:01-17
  • 2024年中國(guó)經(jīng)濟(jì)成績(jī)單含金量十足

      2024年中國(guó)經(jīng)濟(jì)年報(bào)出爐,GDP突破134萬(wàn)億元,同比增長(zhǎng)5%,順利實(shí)現(xiàn)預(yù)期目標(biāo)。  翻看這份成績(jī)單,三里河認(rèn)為,可從含金量高、含新量升、含綠量足這些維度來(lái)觀察。  含金量高  事非經(jīng)過(guò)不知難。含金量體現(xiàn)在中國(guó)經(jīng)濟(jì)全...

    時(shí)間:01-17
  • 高質(zhì)量發(fā)展親歷者說(shuō)|萬(wàn)里紅張小亮:虹膜識(shí)別技術(shù)的發(fā)展永無(wú)止境

      中新網(wǎng)1月17日電(中新財(cái)經(jīng) 吳家駒 程姝)通過(guò)眼睛,就能識(shí)別一個(gè)人的身份,這背后依靠的就是虹膜識(shí)別技術(shù)。  北京萬(wàn)里紅科技有限公司(簡(jiǎn)稱“萬(wàn)里紅”),是虹膜識(shí)別領(lǐng)域的代表企業(yè)之一。萬(wàn)里紅總裁張小亮接受中新財(cái)經(jīng)...

    時(shí)間:01-17
  • 高質(zhì)量發(fā)展親歷者說(shuō) | 山行資本徐詩(shī):資本參與創(chuàng)新要堅(jiān)持長(zhǎng)期主義

      中新網(wǎng)1月17日電(中新財(cái)經(jīng) 宮宏宇)“資本想長(zhǎng)期參與到創(chuàng)新資源的分配中,必須有可持續(xù)性。選擇賽道也是一個(gè)不斷累積經(jīng)驗(yàn)的過(guò)程,這要求投資人具備充分的耐心。”山行資本創(chuàng)始合伙人徐詩(shī)近日接受中新財(cái)經(jīng)專訪時(shí)表示。...

    時(shí)間:01-17
  • 柬埔寨官員冀恢復(fù)暹粒與中國(guó)主要城市直航

      中新網(wǎng)南寧1月17日電 (黃令妍)“世界市長(zhǎng)對(duì)話·南寧”活動(dòng)16日在廣西南寧開(kāi)幕,柬埔寨暹粒省暹粒市副市長(zhǎng)海勇在中外城市市長(zhǎng)對(duì)話環(huán)節(jié)中表示,希望推動(dòng)恢復(fù)暹粒與中國(guó)主要城市,特別是南寧之間的直航,以增加旅游業(yè)和其他...

    時(shí)間:01-17
免責(zé)聲明:本網(wǎng)對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。 本網(wǎng)站轉(zhuǎn)載圖片、文字之類版權(quán)申明,本網(wǎng)站無(wú)法鑒別所上傳圖片或文字的知識(shí)版權(quán),如果侵犯,請(qǐng)及時(shí)通知我們,本網(wǎng)站將在第一時(shí)間及時(shí)刪除。
主站蜘蛛池模板: 成人妇女免费播放久久久| 欧美一区二区三区久久综| 国产韩国精品一区二区三区 | 九九热在线视频观看这里只有精品| 麻豆麻豆必出精品入口| 日本成熟电影不卡www| 同城免费妇女寂寞| bt天堂在线www最新版资源在线| 欧美精品一区二区三区在线 | 成人午夜视频免费| 伊人一伊人色综合网| 1000部夫妻午夜免费| 日韩在线免费视频| 啊灬啊灬别停啊灬用力啊免费 | 精品无码一区二区三区爱欲九九| 天天看天天爽天天摸天天添| 亚洲国产精品一区二区第四页 | wc女厕所散尿hd| 欧美日韩一区二区三区在线视频| 国产成人亚洲精品无码AV大片 | 嫩草视频在线免费观看| 亚洲欧美精品日韩欧美| 国产成人yy精品1024在线| 扒开双腿猛进湿润18p| 亚洲综合色婷婷在线观看| 日韩视频第二页| 成年女人午夜毛片免费看| 亚洲第一成年免费网站| 91九色视频无限观看免费| 性感美女视频在线观看免费精品| 亚洲欧美日韩国产成人| 青梅竹马嗯哦ch| 天天干天天射综合网| 久热国产在线视频| 精品人妻大屁股白浆无码| 国产精品ⅴ无码大片在线看| 中文字幕免费看| 欧美性xxxx禁忌| 国产v片成人影院在线观看| 91香蕉国产线在线观看免费| 日本又粗又长一进一出抽搐|